МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практической работе № 14
по дисциплине «Основы информационной безопасности» Тема: «Оценка структуры факторов риска»
Студентка гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
2.Цель работы: провести оценку отношений на множестве факторов риска,
расчет профиля риска и определить наиболее значимые факторы;
3. Отчёт выполняется с расчетом профиля риска в РискМенеджер - Анализ v3.5.
1. Оценка структуры факторов риска по методологии ФСТЭК
С помощью методики ФСТЭК построим структуру видов ущерба,
относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
|
|
|
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
|
|
|
|
|
Финансовый ущерб физическому лицу. |
|
|
|
|
|
Нарушение иных прав и свобод гражданина, |
|
|
закрепленных в Конституции Российской |
|
|
Федерации и федеральных законах. |
|
|
|
У2 |
Риски юридическому лицу, |
Нарушение законодательства Российской |
|
индивидуальному предпринимателю, |
Федерации. |
|
связанные с хозяйственной |
|
|
Недополучение ожидаемой |
|
|
деятельностью |
(прогнозируемой) прибыли. |
|
|
|
|
|
Необходимость дополнительных |
|
|
(незапланированных) затрат на выплаты |
|
|
штрафов (неустоек) или компенсаций. |
|
|
|
|
|
Необходимость дополнительных |
|
|
(незапланированных) затрат на закупку |
|
|
товаров, работ или услуг (в том числе |
|
|
закупка программного обеспечения, |
|
|
технических средств, вышедших из строя, |
|
|
замена, настройка, ремонт указанных |
|
|
средств). |
|
|
|
|
|
Срыв запланированной сделки с партнером. |
|
|
|
В таблице 2 приведены объекты воздействия в соответствии с негативными
последствиями из первой таблицы.
Таблица 2 – Возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
|
|
|
|
|
|
|
Нарушение конфиденциальности. |
База аутентификационных |
Утечка аутентификационных |
||
|
данных |
данных пользователей из БД |
||
|
|
|
|
|
|
Проводные и беспроводные |
Перехват |
информации, |
|
|
|
|||
|
каналы передачи данных. |
содержащей учетные данные |
||
|
|
|||
|
|
пользователей, передаваемой |
||
|
|
по каналам |
|
|
|
|
|
|
|
Нарушение иных прав и свобод |
Файловый сервер |
Утечка |
материалов |
|
гражданина, закрепленных в |
|
ЭБС, защищаемых |
|
|
Конституции Российской |
|
авторским правом |
|
|
Федерации и федеральных |
|
|
|
|
законах. |
|
|
|
|
|
|
|
||
Нарушение законодательства РФ, |
База аутентификационных |
Утечка аутентификационных |
||
|
|
|
||
необходимость дополнительных |
данных |
данных |
пользователей, |
|
|
|
|
||
затрат на выплаты штрафов (У2) |
|
защищаемых |
законом |
|
|
|
|
|
|
|
|
«О персональных |
данных» |
|
|
|
(предусмотрены штрафы) |
||
|
|
|
|
|
|
Файловый сервер |
Утечка |
материалов |
|
|
|
|
|
|
|
|
ЭБС, защищаемых законом |
||
|
|
«Об авторском праве и |
||
|
|
смежных правах» |
|
|
|
|
(предусмотрены штрафы) |
||
|
|
|
||
Нарушение штатного режима |
ПО для администрирования |
Несанкционированный |
||
функционирования |
|
доступ, |
нарушение |
|
автоматизированной системы, |
|
функционирования |
|
|
невозможность решения задач |
|
программно- |
аппаратных |
|
или снижение эффективности |
|
средств-администрирования |
||
решения задач (У2) |
|
ЭБС |
|
|
|
|
|
|
|
Категории и уровни возможных нарушителей представлены в 3 таблице, в
которую сведены данные для определения видов риска.
Таблица 3 – Актуальные нарушители
№ |
Виды риска |
(ущерба) |
и |
Виды актуального |
Категория |
Уровень |
|
|
возможные |
негативные |
нарушителя |
нарушителя |
возможностей |
||
|
последствия |
|
|
|
|
нарушителя |
|
|
|
|
|
|
|
|
|
1 |
У1: |
|
|
Хакеры |
Внешний |
Н2 |
(базовые |
|
нарушение |
|
|
|
|
повышенные |
|
|
конфиденциальности (утечка) |
|
|
возможности) |
|||
|
персональных данных; |
|
|
|
|
|
|
|
|
Конкурирующие |
Внешний |
Н2 |
(базовые |
||
|
нарушение иных прав и свобод |
организации |
|
повышенные |
|||
|
гражданина, закрепленных в |
|
|
|
возможности) |
||
|
Конституции |
РФ |
и |
|
|
|
|
|
Администраторы |
Внутренний |
Н2 |
(базовые |
|||
|
федеральных законах |
|
ЭБС |
|
повышенные |
||
|
|
|
|
|
|
возможности) |
|
|
|
|
|
|
|
|
|
|
|
|
|
Авторизованные |
Внутренний |
Н1 |
(базовые |
|
|
|
|
пользователи ЭБС |
|
возможности) |
|
|
|
|
|
|
|
|
|
2 |
У2: |
|
|
Хакеры |
Внешний |
Н2 |
(базовые |
|
нарушение законодательства |
|
|
повышенные |
|||
|
РФ; |
|
|
|
|
возможности) |
|
|
|
|
|
|
|
|
|
|
необходимость |
|
|
Конкурирующие |
Внешний |
Н2 |
(базовые |
|
дополнительных |
затрат |
на |
организации |
|
повышенные |
|
|
выплаты штрафов; |
|
|
|
возможности) |
||
|
|
|
|
|
|
|
|
Таблица 4 – Виды нарушителей и возможные цели реализации угроз
№ |
Виды актуального |
Категории |
Возможные |
цели |
реализации |
угроз |
|
|
нарушителя |
нарушителя |
безопасности информации |
|
|
||
|
|
|
|
|
|
|
|
1 |
Хакеры |
Внешний |
Получение |
финансовой |
или |
иной |
|
|
|
|
материальной выгоды |
|
|
|
|
|
|
|
|
|
|||
2 |
Конкурирующие |
Внешний |
Получение материальной выгоды |
|
|||
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3 |
Поставщики услуг |
Внешний |
Получение |
финансовой |
или |
иной |
|
|
связи |
|
материальной выгоды |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
неквалифицированные действия |
|
|
||
|
|
|
|
|
|||
4 |
Сотрудники |
Внутренний |
Преднамеренные действия с целью |
|
|||
|
|
|
получения выгоды/реализациисобственных |
||||
|
|
|
интересов. |
|
|
|
|
|
|
|
Непреднамеренные действия, тормозящие |
|
|||
|
|
|
работу организации. |
|
|
|
|
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
неквалифицированные действия |
|
|
||
|
|
|
|
|
|
|
|
Методы реализации негативного воздействия для указаных видов
нарушителей представлены в таблице 5.
Таблица 5 – Актуальные способы реализации угроз и соответствующие виды нарушителей
Вид нарушителя, |
Объекты |
Доступные интерфейсы |
Способы реализации |
категория |
воздействия |
|
|
|
|
|
|
Хакеры (H2), |
CУБД, |
Веб-сайт компании, |
Использование |
внешний |
сотрудники |
электронная почта, территория |
уязвимостей, инъекций, |
|
|
предприятия. |
социальной инженерии. |
Конкуренты |
|
||
(H2), внешний |
|
|
|
|
|
|
|
Поставщики |
Рабочие |
ПАК предприятия |
Целенаправленный |
услуг связи (H2), |
места |
|
перехват информации, |
внешний |
сотрудников, |
|
отказ от обслуживания. |
|
веб-сервер |
|
|
|
|
|
|
Сисадмин (H2), |
ПАК |
ПАК предприятия |
Ошибки в настройке, |
внутренний |
предприятия |
|
продажа данных, |
|
|
|
намеренное или случайное |
|
|
|
их удаление. |
|
|
|
|
Сотрудник (H1), |
Рабочие |
Рабочие места сотрудников |
Пользовательские ошибки |
внутренний |
места |
|
|
|
сотрудников |
|
|
|
|
|
|
Дополнительный |
- |
- |
Непреднамеренное |
персонал (H1), |
|
|
причинение вреда ПАК, |
внутренний |
|
|
саботаж |
|
|
|
|
Рисунок 2 – комплексы мер
Наиболее эффективный комплекс мер позволяет снизить остаточный риск до приемлемого за 450,5 тыс. рублей
Комплекс мер 1
450,5 тыс. рублей – приемлемый уровень риска